グローバルな個人情報管理―Brexit

Brexit よくある質問

英国と欧州委員会は2020年12月30日をもって、英国が欧州連合(EU)から離脱(「Brexit」)することについて、条件面での基本的な合意に至りました。 この状況は、経済面および通商面に影響を及ぼしますが、英国もしくはEUの顧客にとっては、データの流れを途絶させる、またはニュアンスがデータ保護およびプライバシーを維持できなくするものではありません。

一般データ保護規則(GDPR)におけるBrexitの影響

一般データ保護規則(GDPR)は2018年5月25日に発効し、EUの「加盟国」に加え、EEAに加盟する3カ国(アイスランド、ノルウェー、リヒテンシュタイン)内で、個人データの処理について定めるものであり、規則の管轄下でデータ処理を引き続き管理するものです。

2018年、英国議会では2018年データ保護法が可決し、英国のデータ保護法をGDPRと完全に整合させました。 英国がEUを離脱した2020年1月31日、改正版の2018年データ保護法とともに、新しく英国のGDPRが国内で発効しました。 「新しい」英国版GDPRは実質的に同じで、EUの「プライバシーと電子通信に関する規則」を全面的に取り入れるとともに、EU版の規則で触れられていない国内法の領域(国家安全保障、諜報機関、出入国管理など)を対象とした改正も行われています。 英国版GDPRは現在、英国内におけるデータ処理を管理しています。

「EU・英国間の貿易と協力に関する協定(TCA)」では、英国が欧州データ保護会議(EDPB)から「十分性認定」を得られる期限を2021年4月30日に設定しています。 EU内と本質的に同等の、一定のデータセキュリティおよびデータ主体の権利の保護について証明することで、国境を越えたEU外へのデータ転送が、またはそれ以降にEU外の当事者とやり取りをする転送が、十分性認定により許諾されます。EUは数カ国(ウルグアイの他、アルゼンチン、カナダ(営利団体)、ニュージーランド、スイスなど)を、すでに十分な保護を規定しているとして承認しています。

次のステップ

英国がEUから妥当性の認定を得られる期限は2021年4月30日までですが、双方の合意によって期間を2カ月延長することが可能です。 英国の2018年データ保護法がGDPRの要件に合致していれば、英国が申請している妥当性認定の授与が期待され、その場合EUと英国間で引き続きデータを自由に流動させることができます。

妥当性の資格が授与されない場合、データ管理者及びデータプロセッサーは、他の妥当性を認定する機構に依拠できる可能性があります。 GDPRは、妥当性の認定を持たないEEA外の領域を「第三国」と呼んでいます。GDPRは、EEA外で第三国へ向けて転送される個人データの十分な保護を確実なものとするため、多くの機構を提供しています。 当該保証はEUが承認した証明によるものであり、法人規定および標準的契約条項(「SCCs」)を拘束する可能性があります。 ニュアンスは、欧州委員会が十分な転送機構として起草した条項および構成をもつデータ転送協定として、SCCs(またの名を「モデル条項」)に依拠しています。

他にご質問や懸案事項がある場合は、プライバシーチームprivacy@nuance.com までお問い合わせください。